+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

NAT routing to internal webserver

NAT routing to internal webserver, RouterOS

rburke

Guest

14.10.2005 15:02:00

Привет всем! Я пытаюсь перенаправить публичный IP-адрес моего Mikrotik роутера v2.9.5 на веб-сервер во внутренней сети. Пока что безуспешно. Забавно, но публичный IP, который мне предоставил провайдер, заканчивается на /24, а внутренняя сеть у меня 10.11.19.0/24. Я пытался настроить, используя пример из мануала 2.9, подставив свои IP-адреса там, где это применимо, и без использования правила NAT. Когда я захожу на веб-страницу по публичному IP, я получаю веб-страницу Mikrotik, но как только я применяю правило NAT, страница вообще не загружается. Ещё нужно отметить, что моя сеть маскирована за публичным IP. Я что-то делаю не так? Заранее спасибо, с уважением, rburke.

jaytcsd

Guest

12.11.2005 07:15:00

Когда я захожу на whatismyip.com с любого ПК, кроме 192.168.0.47, я получаю xx.59.194.58 в качестве адреса, моего WAN IP в роутере. Когда я использую ПК по адресу 192.168.0.47, я получаю ответ xx.59.194.57.

ip address> print
Flags: X - disabled, I - invalid, D - dynamic
ADDRESS NETWORK BROADCAST INTERFACE
0 ;;; WAN IP xxx.59.194.58/24 xxx.59.194.0 xxx.59.194.255 public
1 ;;; ip for internal PC xxx.59.194.57/24 xxx.59.194.0 xxx.59.194.255 public

ip firewall nat> pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat src-address=192.168.0.47 action=src-nat to-addresses=xxx.59.194.57 to-ports=0-65535
1 ;;; masquerade hotspot network
chain=srcnat src-address=10.20.7.0/24 action=masquerade
2 ;;; masquerade private network
chain=srcnat src-address=192.168.0.0/24 action=masquerade

ip route> pr
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf
DST-ADDRESS PREFSRC G GATEWAY DISTANCE INTERFACE
0 ADC 10.20.7.0/24 10.20.7.1 hotspot
1 ADC xx.59.194.0/24 xx.59.194.58 public
2 ADC 192.168.0.0/24 192.168.0.10 private
3 A S 0.0.0.0/0 r xxx.59.194.1 public

believewireless

Guest

19.11.2005 16:00:00

У меня похожие проблемы, и я никак не могу понять, почему. Вот что у меня настроено:
1 chain=srcnat out-interface=ether3 src-address=192.168.1.0/24 action=masquerade
10 chain=dstnat dst-address=65.XX.XX.203 protocol=tcp dst-port=8021 action=dst-nat to-addresses=192.168.1.21 to-ports=80
11 chain=srcnat src-address=192.168.1.21 protocol=tcp action=src-nat to-addresses=65.XX.XX.203 to-ports=0-65535

Когда я захожу на http://65.XX.XX.203:8021/, я вижу, что байты и пакеты растут для правила dst-nat, но ничего не показывает для обоих правил src-nat. В Connections отображается “syn sent” для адреса 65.XX.XX.203, но вообще ничего не отображается для 192.168.1.21. Я могу пинговать IP-адрес и даже подключаться к порту 80 с маршрутизатора, используя telnet. Но попытка достучаться до веб-сервера из внешней сети не работает. Какие есть идеи, что я делаю не так?

Tonda Guest	#4 0 19.11.2005 17:05:00 Как насчёт твоих правил брандмауэра? Чтобы корректно настроить трансляцию адресов, недостаточно просто правильно использовать src-nat, нужны ещё и подходящие правила фильтра брандмауэра.

wildbill442 Guest	#5 0 19.11.2005 17:08:00 Не нужно менять цепочку перенаправления, если только какое-то правило не блокирует порт(ы), которые вы пытаетесь настроить NAT.

Tonda

Guest

19.11.2005 17:23:00

Когда я предполагаю, что твои правила фильтрации позволяют только исходящие соединения из внутренней сети и установленные/связанные соединения из интернета во внутреннюю сеть, то нужно добавить соответствующие правила.

believewireless Guest	#7 0 19.11.2005 17:32:00 Фильтры не настраивались. В инструкции по NAT для пункта назначения я не нашел информации о необходимости модификации и фильтрации правил. Маскирование работает отлично. Нужно ли что-то еще добавить?

Tonda Guest	#8 0 19.11.2005 17:41:00 Конечно, это зависит от реальной конфигурации роутера, и поэтому я и спрашивал эти правила..

sergejs Guest	#9 0 16.10.2005 18:26:00 Вам нужно настроить полный NAT для web-server, используйте src-nat вместо masquerade. Вот пример конфигурации: http://www.mikrotik.com/docs/ros/2.8/howto/howto.content#12.2.6. Поменяйте синтаксис для 2.9.

proxy Guest	#10 0 16.10.2005 20:38:00 У меня тоже такая проблема, не могу srcnat :S. Что может быть не так?

changeip

Guest

#11

16.10.2005 21:40:00

Я сделал это, когда у тебя отдельная LAN (DMZ) для серверов, выходящих в интернет, но так и не смог заставить это работать как надо… Cisco это называют ‘nat on a stick’ - возможно, что-то похожее нужно настроить и у меня. В общем, если поместить эти серверы в другую подсеть или интерфейс, это должно помочь. Сэм.

jaytcsd

Guest

#12

17.10.2005 07:59:00

Я смог настроить NAT как с 2.8, так и с 2.9, используя hotspot для подключения к веб-камере в моей домашней сети.

Вот правила 2.9:

0 ;;; masquerade hotspot network
chain=srcnat
src-address=10.20.7.0/24
action=masquerade
1 ;;; masquerade private network
chain=srcnat
src-address=192.168.0.0/24
action=masquerade
2 chain=dstnat
dst-address=xxx.yyy.194.57
action=dst-nat
to-addresses=192.168.0.20
to-ports=80
3 chain=src-nat
src-address=192.168.0.20
action=src-nat
to-addresses=xxx.yyy.194.57
to-ports=80

ip hotspot
ip-binding> print

Flags: X - disabled, P - bypassed, B - blocked

MAC-ADDRESS ADDRESS TO-ADDRESS SERVER
0 P 80:80:66:7B:1F:A0 192.168.0.20 xxx.yyy.194.57 hs-hotspot

xxx.yyy.194.57 — мой публичный IP. Если у тебя не работает hotspot, то тебе, наверное, не понадобится команда ip-binding.

rburke Guest	#13 0 17.10.2005 18:48:00 Спасибо, jaytcsd, похоже, в этот раз получилось.

proxy Guest	#14 0 17.10.2005 19:04:00 Не могу заставить это работать… Мне нужно, чтобы все адреса были NAT'ированы до xx.xxx.xx.x, и все порты, но не работает. На 2.8 работало, но я не знаю, почему на 2.9 не работает :S

jaytcsd

Guest

#15

18.10.2005 00:52:00

Пытаешься ли ты сопоставить кучу приватных IP-адресов с одним публичным для исходящего трафика, или наоборот, пытаешься сопоставлять публичные IP-адреса с приватными, чтобы трафик мог попасть внутрь твоей приватной сети?

proxy

Guest

#16

18.10.2005 09:31:00

Привет, постараюсь объяснить понятно. Когда я работал с версией 2.8, у меня было правило исходного NAT, и в этом правиле я добавил такую конфигурацию: ip firewall src-nat> add action=nat to-src-address=x1.x23.x14.xx to-s rc-port=0-65535 src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=all. Проблема в том, что в 2.9 это не работает.

jaytcsd Guest	#17 0 18.10.2005 16:37:00 Я не использую src-nat/правила nat в своем роутере, только правила маскирования, боюсь, я не смогу помочь.

andrewluck

Guest

#18

18.10.2005 17:14:00

Мои правила для NAT внутренней сети и IP-телефона, подключенного к отдельному интерфейсу:

0 ;;; Внутренний LAN NAT
chain=srcnat
out-interface=Internet
src-address=192.168.1.0/24
action=src-nat
to-addresses=82.xxx.xxx.205
to-ports=0-65535

1 ;;; Nat для IP-телефона
chain=srcnat
out-interface=Internet
src-address=192.168.2.10
action=src-nat
to-addresses=82.xxx.xxx.201
to-ports=0-65535

2 ;;; IP Phone chain
chain=dstnat
in-interface=Internet
dst-address=82.xxx.xxx.201
action=dst-nat
to-addresses=192.168.2.10
to-ports=0-65535

Синтаксис немного изменился с версией 2.9.

С уважением,
Andrew

mengong Guest	#19 0 07.11.2005 12:26:00 В 2.9 нужно определить цепочку для srcnat и действие src-nat, это у меня работает.

proxy Guest	#20 0 11.11.2005 10:32:00 Я определил это, но все равно не работает. Можешь, пожалуйста, выложить копию своей конфигурации?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры